Блог

Ликбез про безопасность интернет-магазина и три страшные истории от наших клиентов

Эта статья — боль, пропущенная через 12-летний опыт работы сетевым администратором и руководителем отдела сопровождения сайтов. Прочитайте 3 реальные истории наших клиентов, а затем проверьте, все ли вы делаете для безопасности своего интернет-магазина.


Когда бизнесмен думает о своем интернет-магазине, у него в мечтах надежный, стабильно работающий сайт, который приносит постоянный доход.

Но на практике происходит далеко не так.

Боты, конкуренты, парсеры, спамеры — злейшие враги, которые «тормозят» сайт, резко уменьшают прибыль и прибавляют головную боль. Лучше заранее позаботиться о том, чтобы обезопасить свой интернет-магазин, чем потом судорожно метаться в поисках спасителя для пациента.

как обезопасить интернет магазин

Что может быть, если не защищаться

Вот 3 примера из нашей практики: надеемся, они смотивируют вас задуматься, как обезопасить свой интернет-магазин и защитить сайт от взлома. Если бы вовремя не были предприняты меры, то это грозило бы следующими проблемами:

  • Кража шаблона интернет-магазина и готового контента.
  • Угон клиентской базы.
  • Простой интернет-магазина без продаж.
  • Убытки от контекстной рекламы, ведущей на неработающий сайт.

1. Ну мы же доверяли…

Компания N продавала через интернет-магазин детские игрушки. Все шло очень хорошо: 15–20 заказов в день, средний чек — 2 000 руб. Жили-поживали и горя не знали. Доступ к административной панели был у трех человек. Причем о правах на сайте никто не задумывался. И вот один из этих сотрудников уволился. После его увольнения были сменены все пароли администраторов.

Проходит 2 месяца, и случайным образом выясняется, что в сети появился клон сайта, закрытый от индексации.

Мы сделали аудит учетных записей, и оказалось, что до увольнения тот самый сотрудник завел ничем не приглядного пользователя с максимальными правами. По логам было видно, что бэкап сайта он делал каждую неделю и заливал данные на клонированный сайт. Как выяснилось позже, кража сайта была сделана уволенным сотрудником, чтобы:

  • слить базу клиентов за вознаграждение конкурентам;
  • иметь готовый шаблон сайта (который стоил несколько сотен тысяч) для дальнейшего запуска самостоятельного бизнеса.

Мораль: доверяй, но защищай.


2. Живу, никому не мешаю

У нас на сопровождении есть клиент, который продает бытовую технику через интернет-магазин. Перед тем как сайт попал в топовые позиции выдачи Яндекса и Google, все было неплохо. Обмен сайта с 1С (более 25 тысяч товаров) проходил за 2–3 часа, «1С-Битрикс» оценивал скорость работы сайта похвальной отметкой «Быстро». Мы активно вели работы по SEO-оптимизации, заливали уникальный интересный контент (да-да, это тоже здорово умеем, обращайтесь). Сайт «возмужал» и, видимо, начал создавать кому-то серьезную конкуренцию.

Приближался Новый год — горячая пора онлайн-продаж. От клиента начали все чаще поступать жалобы на скорость работы сайта. Обмен с 1С длился от 5 до 10 часов, скорость работы сайта с «Быстро» поменялась на «Очень медленно». Работать с заполнением сайта информацией стало невыносимо. Ошибка с базой данных «DB query error» начала появляться все чаще и чаще. И самое неприятное — количество заказов уменьшилось более чем в 2 раза, со 100 до 40.

Сначала подозрение пало на хостера (жесткие диски и их контроллер, память и т. п.). Сделали заявку, техническая поддержка уверенно ответила: «С нашей стороны проблем нет!»

После аудита базы данных выяснилось, что в одну из таблиц каждые 2–3 секунды записывалась информация. Это была таблица, отвечающая за сбор информации с форм обратной связи. Причем на форме была капча.

Далее начался глубокий анализ логов Apache, взяли временной интервал с 3.00 до 9.00 часов. И вот она зацепка. За 6 часов в логах было более 22 000 уникальных IP-адресов. Наша техническая поддержка сделала дополнительную настройку Apache для защиты от ботов, а также необходимые настройки со стороны административной панели «1С-Битрикс». После этого обмен с 1С и скорость работы сайта нормализовались. Клиент был счастлив, что новогодние продажи не сорвались и прошли на ура.


Мораль: защищайтесь от ботов и не знайте заботы!


3. Крыса на сайте

На техподдержку пришел клиент, который остался очень недоволен работой предыдущих разработчиков. Крупный каталог домов и коттеджей под ключ на платформе «1С-Битрикс». Расставание было очень тяжелым и нервным. Клиент переживал, не оставили ли прежние разработчики каких-либо слабых мест на сайте.

Наши программисты провели полный аудит сайта, в результате которого выяснилось, что в коде была сделана закладка, которая позволяла заходить в административную часть сайта без пароля. Для чего это было сделано, остается только догадываться…

Человек, который имел доступ к этому сайту, мог скачать себе базу клиентов с контактными данными, каталог и сам шаблон сайта для дальнейшей продажи. Но своевременное выявление проблемы помогло избежать этих печальных последствий.


Мораль: расстались? Проверьтесь!


как обезопасить интернет магазин

Как защитить свой сайт от взлома

Безопасным можно назвать интернет-магазин, который стабильно работает и надежно защищен от происков злоумышленников.

Как защитить сайт от парсинга и хакеров? Вот наши рекомендации.

  • Делайте регулярное копирование сайта и баз данных — бэкап. Причем храните копии хотя бы за 3–5 дней.
  • Разграничивайте права доступа на сайте. Если сотрудник размещает картинки и текст на сайте, то не нужно давать ему права администратора сайта.
  • Соблюдайте требования безопасности разработчиков CMS (системы управления) сайта. Используйте готовые инструменты и возможности такой системы.
  • Делайте тестирование системы, обращайте внимание на ее производительность и ошибки.

Советы владельцам интернет-магазина, как минимизировать возможные проблемы

  • На все бэкапы сайта устанавливайте пароль не менее 8 символов. Не используйте короткие и простые пароли, усложните задачу злоумышленнику.
  • Храните бэкапы в защищенном месте, которое известно только вам и тем, кому вы доверяете.
  • Не храните пароли в открытом доступе (в файле блокнота на рабочем столе), используйте специализированные программы хранения паролей (KeePass, TeamPass), в которых пароли шифруются. Браузер или клиентские программы FTP — также не лучший выбор для хранения паролей, т. к. с помощью вредоносных программ или сетевой атаки легко их выкрасть. Мы также не рекомендуем записывать пароли на бумажке и класть ее на стол или под клавиатуру: если к вашему рабочему месту имеют доступ посторонние люди, пароли могут быть похищены.
  • Не передавайте пароли по открытым каналам связи, таким как мессенджеры и электронная почта. А если уж решили отправить таким способом, то зашифруйте пароль с помощью программы WinRAR.
  • Устанавливайте на рабочие станции антивирусные программы и не забывайте обновлять их базы.
  • Используйте протокол HTTPS на сайте, чтобы Яндекс и Google тоже были спокойны за безопасность вашего сайта.

Подробнее о том, что такое протокол HTTPS и зачем он нужен читайте в статье «Как спасти свой сайт от катастрофического Google-игнора»

  • Для обеспечения безопасности интернет-магазина при подключении по протоколу SSH используйте не пароль, а RSA ключи. Также можно поменять стандартный порт подключения SSH 22, например, на 55522.
  • Своевременно устанавливайте обновления для CMS и для операционной системы своего ПК.

Следование этим рекомендациям поможет вам защитить интернет-магазин и предотвратит убытки от взлома.


Как говорится, «За безопасность нужно платить, а за ее отсутствие расплачиваться!» Если вы хотите защитить свой сайт, мы всегда готовы взять его на техническое сопровождение. У наших специалистов большой опыт настройки безопасных интернет-магазинов на разных платформах.

Тарифы на сопровождение сайтов
и технический аудит

Желаем вашему интернет-магазину только надежной работы и высокой прибыли!